McAfee sospecha de Corea del Norte en un reciente ataque cibernético contra el sector financiero turco

Los hackers norcoreanos son sospechosos de un ataque cibernético contra el sector financiero de Turquía, como se indica en un informe publicado por McAfee el 8 de marzo.

El equipo de Investigación Avanzada de Amenazas de McAfee identificó un intento por parte del grupo de piratas informáticos Hidden Cobra de violar la seguridad de las instituciones financieras turcas respaldadas por el gobierno los días 2 y 3 de marzo.

Aunque la política de McAfee consiste en no identificar oficialmente como culpables a los grupos cibernéticos de los Estados nacionales, en el informe se menciona que el código del malware en cuestión se asemeja mucho al código utilizado por un operativo de piratería informática asociado con Corea del Norte.

Los hackers usaron malware modificado conocido como "Bankshot" que utilizó una vulnerabilidad recientemente revelada en Adobe Flash. Los atacantes intentaron atraer a sus víctimas con correos electrónicos de phishing que contenían un archivo infectado de Microsoft Word llamado Agreement.docx.

El archivo parecía ser una plantilla de acuerdo para la distribución de Bitcoin entre una persona desconocida en París y un intercambio de criptomoneda por determinar, dice el informe.

Los implantes de Bankshot fueron distribuidos desde un dominio similar a la plataforma crediticia de criptomonedas Falcon Coin, pero el dominio malicioso falcancoin.io fue creado el 27 de diciembre de 2017, y no está legalmente asociado con la plataforma original.

Aunque no ha habido reportes de dinero robado en los ataques, el equipo de investigación cree que la campaña pretendía tener acceso remoto a los sistemas internos de las organizaciones financieras dirigidas por el gobierno. Sin embargo, el informe no revela qué organizaciones específicas se vieron afectadas.

El equipo de McAfee también descubrió dos documentos escritos en coreano, que parecen formar parte de la misma campaña de piratería informática, pero estaban destinados a objetivos diferentes.

En diciembre de 2017, el gobierno de EE.UU. emitió una advertencia sobre el malware Bankshot, relacionándolo con Hidden Cobra, un grupo de hackers estadounidenses. El gobierno considera que los ciberdelincuentes maliciosos trabajan para el gobierno de Corea del Norte.

Corea del Norte ha sido acusada en repetidas ocasiones de piratear los intercambios de criptomonedas surcoreanos, ya que las sanciones internacionales en contra del país se han endurecido durante el año pasado.

  • Síguenos en: